0
Windows 2k3 Fileserver-Überwachung - Fehlerhafte Einträge im Eventlog trotz vorhandener Berechtigungen
Hallo zusammen,
wieder einmal verzweifle ich an der Übermacht von Microsoft
Hintergrund:
ich habe einen Windows Server 2003 SP2 Std. Auf dem gibt es eine mehr oder weniger freigegebene Ordnerstruktur mit entsprechend angepassten Rechten für die Nutzer(gruppen).
Darauf habe ich nun die Überwachung bei Fehlzugriffen (über eine GPO) aktiviert und auf dem Dateisystem habe ich eingestellt, dass "Jeder" überwacht wird und jeder "Fehlgeschlagene Vollzugriff" protokolliert werden soll.
Funktioniert soweit auch sehr gut.
Wo ist nun das Problem?
Nun, wenn ich mit MS Office ein Dokument in einem Ordner speichere, in dem ich Eigentümer bin und volle Rechte habe, ist Windows der Meinung dennoch ein Event mit der ID 560 zu produzieren. Als Zugriff erscheint dann ein "DELETE READ_CONTROL ACCESS_SYS_SEC [...]".
Weiteres Problem:
Wenn ein anderer Benutzer in dem selben Ordner, ebenfalls mir vollen Rechten diese Datei öffnet und wieder speichert, kommt es zu einem Besitzerwechsel. Dies quittiert mir Windows mit der ID 560 und dem Inhalt Zugriffe: "WRITE_DAC WRITE_OWNER Attribute lesen"
Selbst wenn ich für letzteren Fehler nun die Überwachung "Fehlgeschlagen Besitzrechte übernehmen" deaktiviere, erscheint der Eventeintrag....
Last but sichlich not least:
Wenn ich nun mit Paint oder dem Windows-Bildbetrachter Bilder anzeige, die in einem Ordner liegen, wo ich die Rechte darauf habe - ihr werdet es sicher erraten - schreibt Windows eine Event ID 560...
Wer kann mir da konstruktiv weiterhelfen und Windows beibringen, dieses Verhalten zu ändern?!
Eine Nutzung von Open Office, Gimp und irfanView, sowie eine Migration auf W2k8(R2) oder gar 2012 ist derzeit ausgeschlossen.
Besten Dank und bete Grüße
Sam
wieder einmal verzweifle ich an der Übermacht von Microsoft
Hintergrund:
ich habe einen Windows Server 2003 SP2 Std. Auf dem gibt es eine mehr oder weniger freigegebene Ordnerstruktur mit entsprechend angepassten Rechten für die Nutzer(gruppen).
Darauf habe ich nun die Überwachung bei Fehlzugriffen (über eine GPO) aktiviert und auf dem Dateisystem habe ich eingestellt, dass "Jeder" überwacht wird und jeder "Fehlgeschlagene Vollzugriff" protokolliert werden soll.
Funktioniert soweit auch sehr gut.
Wo ist nun das Problem?
Nun, wenn ich mit MS Office ein Dokument in einem Ordner speichere, in dem ich Eigentümer bin und volle Rechte habe, ist Windows der Meinung dennoch ein Event mit der ID 560 zu produzieren. Als Zugriff erscheint dann ein "DELETE READ_CONTROL ACCESS_SYS_SEC [...]".
Weiteres Problem:
Wenn ein anderer Benutzer in dem selben Ordner, ebenfalls mir vollen Rechten diese Datei öffnet und wieder speichert, kommt es zu einem Besitzerwechsel. Dies quittiert mir Windows mit der ID 560 und dem Inhalt Zugriffe: "WRITE_DAC WRITE_OWNER Attribute lesen"
Selbst wenn ich für letzteren Fehler nun die Überwachung "Fehlgeschlagen Besitzrechte übernehmen" deaktiviere, erscheint der Eventeintrag....
Last but sichlich not least:
Wenn ich nun mit Paint oder dem Windows-Bildbetrachter Bilder anzeige, die in einem Ordner liegen, wo ich die Rechte darauf habe - ihr werdet es sicher erraten - schreibt Windows eine Event ID 560...
Wer kann mir da konstruktiv weiterhelfen und Windows beibringen, dieses Verhalten zu ändern?!
Eine Nutzung von Open Office, Gimp und irfanView, sowie eine Migration auf W2k8(R2) oder gar 2012 ist derzeit ausgeschlossen.
Besten Dank und bete Grüße
Sam
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 242516
Url: https://administrator.de/contentid/242516
Ausgedruckt am: 24.11.2024 um 20:11 Uhr
